.workbuddy/memory/2026-06-14-%E8%AF%84%E5%AE%A1-P0%E5%AE%89%E5%85%A8.md

# workbuddy 评审反馈 — 2026-06-14 P0 安全止血

**推送内容**: WS token 鉴权改造 + 坐席本地密码 + secret 管理规划文档
**评审日期**: 2026-06-14
**评审人**: Claude
**主报告**: `D:\资料\03-项目开发\wecom_it_smart_desk\docs\评审报告\workbuddy-2026-06-14-P0安全.md`
**commit**: 3735dc0 (本地 main,未推 Gitea)

---

## ⭐ 给 workbuddy 的关键反馈(高优先级)

1. **🔴 浏览器 WebSocket API 不支持自定义 header** — 误用 Node.js `ws` 库的 options.headers
2. **🔴 nginx access_log 没关** — 即使前端修好,token 仍经 access_log 泄露
3. **🟡 Mapped[str] + nullable=True 类型不一致** — 改 Optional[str]
4. **🟡 企微降级放行仍能绕过 password 验证** — P0-#5 被反削弱
5. **🟡 requirements.txt 缺 passlib** — 部署会 ImportError

## 🔴 遗留 5 项(下一轮必修)

| # | 严重度 | 文件 | 修复要点 |
|---|---|---|---|
| 1 | 🔴 P0 | `frontend-agent/.../useWebSocket.ts:106-110` | 改 `new WebSocket(wsUrl, [\`bearer.${token}\`])` + 服务端从 `sec-websocket-protocol` 取 |
| 2 | 🔴 P0 | `nginx.conf` + `deploy-server/nginx.conf` | 加 `location /ws/ { access_log off; }` |
| 3 | 🟡 P1 | `backend/app/models/agent.py:142-148` | `Mapped[str]` → `Mapped[Optional[str]]` |
| 4 | 🟡 P1 | `backend/app/api/agents.py` 降级放行 | 检测 `agent.password_hash` 存在 → 强制 password |
| 5 | 🟡 P1 | `backend/requirements.txt` | 加 `passlib[bcrypt]==1.7.4` 或改用原生 `bcrypt==4.1.2` |

## 🟢 评审验收

- ✅ ws.py 服务端:header 优先 + query 降级,**逻辑正确**
- ✅ model 字段定义:`password_hash` String(128) nullable,**结构 OK**(类型注解除外)
- ✅ schema:`AgentLogin.password` + `AgentPasswordUpdate`,**OK**
- ✅ 改密端点 `POST /agents/password`:走 `Depends(get_current_agent)`,**OK**
- ✅ alembic 008:down_revision='007_role_system' 正确,**OK**
- ✅ docs/安全/secret-管理.md:**作为规划文档 OK**

## 📊 完成度

| 任务 | 完成 |
|---|---|
| P0-#1 WECOM_SECRET 集中化 | 🟡 仅规划文档 |
| P0-#2 SSL 私钥在仓 | 🟢 之前已修(8-A 阶段) |
| P0-#3 Mock login | 🟢 之前已修 |
| P0-#4 WS token URL/日志 | 🟡 半成品(服务端 OK,前端 + nginx 待关) |
| P0-#5 坐席本地密码 | 🟡 半成品(模型/Schema/端点 OK,类型 + 降级 + 依赖) |

**整体**: 2/5 P0 真正完成,3 项遗留待下一轮。

## 🔁 流程建议

- 推送前自检清单:
  - [ ] 浏览器 WebSocket API 边界(不要用 `ws` 库的 options.headers)
  - [ ] nginx/conf 改动 plan 写了就必须做
  - [ ] Mapped[T] + nullable=True 必须用 Optional
  - [ ] 改代码必须同步 requirements.txt
  - [ ] 加新鉴权必须 review 已有降级路径是否被绕过
- **强烈建议**: workbuddy 推送前先回答"我的改动在浏览器侧能跑吗?"(不要假设 Node.js API = 浏览器 API)

## 🔗 推 Gitea 状态

- **本地 commit 3735dc0**: ✅ 已存
- **推 Gitea**: 🔴 卡 #8(MariaDB 套件未装)
- **下次**: Gitea 起来后 `git push -u origin main` 推 → workbuddy 拿 Gitea URL 二次评审
P0安全修复: WS token改subprotocol + nginx日志关闭 + 类型修复 + 降级验证 + 依赖 2026-06-14 21:21:48 +08:00			`# workbuddy 评审反馈 — 2026-06-14 P0 安全止血`

			`推送内容: WS token 鉴权改造 + 坐席本地密码 + secret 管理规划文档`
			`评审日期: 2026-06-14`
			`评审人: Claude`
			主报告: `D:\资料\03-项目开发\wecom_it_smart_desk\docs\评审报告\workbuddy-2026-06-14-P0安全.md`
			`commit: 3735dc0 (本地 main,未推 Gitea)`

			`---`

			`## ⭐ 给 workbuddy 的关键反馈(高优先级)`

			1. 🔴 浏览器 WebSocket API 不支持自定义 header — 误用 Node.js `ws` 库的 options.headers
			`2. 🔴 nginx access_log 没关 — 即使前端修好,token 仍经 access_log 泄露`
			`3. 🟡 Mapped[str] + nullable=True 类型不一致 — 改 Optional[str]`
			`4. 🟡 企微降级放行仍能绕过 password 验证 — P0-#5 被反削弱`
			`5. 🟡 requirements.txt 缺 passlib — 部署会 ImportError`

			`## 🔴 遗留 5 项(下一轮必修)`

			`\| # \| 严重度 \| 文件 \| 修复要点 \|`
			`\|---\|---\|---\|---\|`
			\| 1 \| 🔴 P0 \| `frontend-agent/.../useWebSocket.ts:106-110` \| 改 `new WebSocket(wsUrl, [\`bearer.${token}\`])` + 服务端从 `sec-websocket-protocol` 取 \|
			\| 2 \| 🔴 P0 \| `nginx.conf` + `deploy-server/nginx.conf` \| 加 `location /ws/ { access_log off; }` \|
			\| 3 \| 🟡 P1 \| `backend/app/models/agent.py:142-148` \| `Mapped[str]` → `Mapped[Optional[str]]` \|
			\| 4 \| 🟡 P1 \| `backend/app/api/agents.py` 降级放行 \| 检测 `agent.password_hash` 存在 → 强制 password \|
			\| 5 \| 🟡 P1 \| `backend/requirements.txt` \| 加 `passlib[bcrypt]==1.7.4` 或改用原生 `bcrypt==4.1.2` \|

			`## 🟢 评审验收`

			`- ✅ ws.py 服务端:header 优先 + query 降级,逻辑正确`
			- ✅ model 字段定义:`password_hash` String(128) nullable,结构 OK(类型注解除外)
			- ✅ schema:`AgentLogin.password` + `AgentPasswordUpdate`,OK
			- ✅ 改密端点 `POST /agents/password`:走 `Depends(get_current_agent)`,OK
			`- ✅ alembic 008:down_revision='007_role_system' 正确,OK`
			`- ✅ docs/安全/secret-管理.md:作为规划文档 OK`

			`## 📊 完成度`

			`\| 任务 \| 完成 \|`
			`\|---\|---\|`
			`\| P0-#1 WECOM_SECRET 集中化 \| 🟡 仅规划文档 \|`
			`\| P0-#2 SSL 私钥在仓 \| 🟢 之前已修(8-A 阶段) \|`
			`\| P0-#3 Mock login \| 🟢 之前已修 \|`
			`\| P0-#4 WS token URL/日志 \| 🟡 半成品(服务端 OK,前端 + nginx 待关) \|`
			`\| P0-#5 坐席本地密码 \| 🟡 半成品(模型/Schema/端点 OK,类型 + 降级 + 依赖) \|`

			`整体: 2/5 P0 真正完成,3 项遗留待下一轮。`

			`## 🔁 流程建议`

			`- 推送前自检清单:`
			- [ ] 浏览器 WebSocket API 边界(不要用 `ws` 库的 options.headers)
			`- [ ] nginx/conf 改动 plan 写了就必须做`
			`- [ ] Mapped[T] + nullable=True 必须用 Optional`
			`- [ ] 改代码必须同步 requirements.txt`
			`- [ ] 加新鉴权必须 review 已有降级路径是否被绕过`
			`- 强烈建议: workbuddy 推送前先回答"我的改动在浏览器侧能跑吗?"(不要假设 Node.js API = 浏览器 API)`

			`## 🔗 推 Gitea 状态`

			`- 本地 commit 3735dc0: ✅ 已存`
			`- 推 Gitea: 🔴 卡 #8(MariaDB 套件未装)`
			- 下次: Gitea 起来后 `git push -u origin main` 推 → workbuddy 拿 Gitea URL 二次评审